打开信息安全的空盒子

新的安全思路是从盒子外面回到盒子里面，如果把盒子里的东西放到一个安全的地方，把盒子腾空，并且只有用户知道这些东西在哪里，怎么打开，怎么使用。用道家的说法就是以无形胜有形，或许只有空盒子才是最安全的。

谈到信息安全，总给人一种老大难的印象。因为一方面传统上以防火墙、入侵检测等为骨架的安全防御策略总不能做到尽善尽美，各种安全威胁层出不穷。另一方面新的安全需求也在对信息安全提出新的要求。也许正因为如此，我们才有动力去尝试以一些新的思路来改变我们的网络安全防范模式。

来自美国研究公司Gartner的一份统计报告显示:现有的公司在2012年需要管理的数据量是2005年数据总量的约30倍。这份报告指出，随着企业对网络交易的依赖日渐增加，如何安全管理公司的所有信息，已是越来越多的企业普遍面临的难题。

近日，IBM宣布已与几十个企业集团合作，共同成立一个称之为数据管治协会 (Data Governance Council)的机构，在这份与IBM合作的名单上有像荷兰银行(ABN Amro)、美国运通(American Express)、德意志银行(Deutsche Bank)、美林(Merrill Lynch)、世界银行(World Bank), 美国全美教师保险及年金协会(TIAA-CREF)告示国际知名的企业集团。该机构将致力于发展一种新的安全防范技术标准，以避免资料遗失或防止黑客入侵。

一个来自IBM的数据管治协会的创办者介绍说，这个想法来自IBM内部一个每季度的非正式会议。这次会议的参会人员除了IBM自己的技术人员外，还包括IBM的客户和相关的技术伙伴。会议交流中，大家发现当前的安全管理措施只能解决一些局部问题，而不能解决所有的问题，经过热烈的讨论我们就想到了成立一个机构来联手解决。于是一个大胆的想法产生了一个大胆的尝试:数据管治协会。

数据管治协会用来对如何使用信息的方式以及所有数据的安全性和完整性进行控制和监管，根据个人和公司设置不同级别的保密机制采用一种跨公司的数据管理模式进行管理。

数据管治的思想是采取一种安全高效的数据信息访问方式来对数据进行管理: 这种控制模式将决定谁是这些信息所有者，谁有权使用这些信息，以及这些信息的使用意图、使用方法。

这些数据管治的策略框架的制定来自对IBM收集信息的提炼并遵循政府规定，同时按照相应的合约义务来具体执行。他们不但用来保护参与协会的成员，而且还保护和这些协会成员有业务联系的客户以及与这些信息相关的第三方厂商。

在笔者看来这种模式是IBM一贯提倡的“随需而动”策略在信息安全领域上的一个具体的体现。同时也是对传统的信息安全模式的一个新挑战。数据管治模式与传统的信息安全模式最大区别就是数据管治模式是以数据安全为核心。

数据管治协会的中心任务是提供一整套包括机密数据的安全防范、保密、不被攻击的统一的标准和解决方案。而在数据管治协会看来，这些任务在过去作为公司IT部门的一项职能是不恰当的。因为企业对数据安全的专业水准和技术水平有限，从而导致机密数据泄漏在所难免。

打个比方说过去信息安全模式是:将公司网络或者个人主机当成一个盒子，通过在盒子外面加上添加防火墙，入侵检测这些一层又一层的防御系统让盒子里的东西严密的封锁起来。只要黑客们无法潜入这个盒子，那么盒子里的东西(信息)就是安全的。可是经过这些年的实践，不论我们的防范措施怎样严密，总有一些神通广大的黑客能破解我们固若金汤的防范，打开这个盒子，这样的事情可以说屡见不鲜，见怪不怪。

而现在的思路是从盒子外面回到盒子里面，如果把盒子里的东西放到一个安全的地方，把盒子腾空，并且只有用户知道这些东西在哪里，怎么打开，怎么使用。用道家的说法就是以无形胜有形，或许只有空盒子才是最安全的。

从空盒子里获取信息，就像哈利波特里的那顶神奇的帽子，看上去空空如也，但却奥秘无穷，无所不知。这听起来有点玄妙，但IBM发起的数据管治协会正在开始在信息安全领域进行这样的尝试。现在就断定说个数据管治协会一定能成功还为时尚早，但是你不能说这不是一个具有创新思维的想法。

来源：中国计算机报